我正在研究不同的单点登录选项。在我看来,SAML虽然是一个很好的解决方案,如果我们看看第三方供应商,它有点超出我们的价格范围。我们也在考虑实施我们自己的解决方案...但是,我们想要使用的一些服务 - 只是为了启用他们想要收费的SAML登录。如果我知道我的所有用户凭据,那么使用这些不同服务的凭据进行HTTP POST的安全风险/缺点是什么?当SAML未启用时,某些SSO提供程序会执行此操作。
答案 0 :(得分:2)
除了管理IDP和SP之间现在需要发生的同步过程之外,使用SAML将消除用户和服务提供商完全处理密码问题(如重置,到期,恢复,轮换等)的需要。
除此之外,操作密码存储系统的任何IDP(这是您所描述的)都需要完成和维护(!)SP登录网页的脆弱,昂贵和笨拙的逆向工程。
此外,引入SSO系统允许您将用户身份验证工作和改进集中在一个地方,从而可以更轻松地一次性为所有服务引入强或第二因素身份验证,而无需每个SP支持。
最后但并非最不重要:密码存储系统仍然涉及分布在不同系统/ SP上的密码,并且不能(完全)隐藏用户。这使得很难或不可能确保立即关闭对所有系统的访问,例如当用户离开组织时。